海关专家：网络安全法三年的实践与思考

文│全国海关信息中心 陈宗旺

《中华人民共和国网络安全法》(以下简称《网络安全法》）自正式实施已经有三年时间，《网络安全法》作为我国第一部全面规范网络空间安全管理基础性法律在维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展发挥了重要作用，它弥补了原有传统安全业态下的法治体系的不足，对推进国家治理体系与治理能力现代化起到了积极作用。《网络安全法》实施三年来，随着国内网络安全生态的发展取得了前所未有的成绩，在移动互联、大数据、物联网等新技术引发数字化转型深入到社会经济生活每一个角落的情况下，网络安全意识已经深入人心；网络与信息安全的制度、规范密集出台，为网络空间的保护提供了更加全面的指南和保障；信息安全技术标准日趋全面，在标准指导下的网络安全实践更加具有可操作性和实用性；支撑网络安全的国家专业化队伍建设也取得新的突破，对国家重点行业、重点信息化关键信息基础设施的保护更加有针对性；针对网络安全自主可控核心技术的研究和应用也有新进展，在国家总体安全观战略的支持下，逐步形成了自主可控的生态圈，在芯片、操作系统、数据库、中间件、云计算等关键技术领域不断缩小与发达国家差距，一些技术比如云计算已经实现了弯道超车。三年来《网络安全法》在我国网络空间法制建设的重要里程碑意义凸显，是我国网络空间治理和规则制定的基础，也是维护国家网络空间安全发展的利器。

法律的生命力在于实施，《网络安全法》实施三年来，作为一名维护国家关系国计民生重要信息系统之一全国海关核心信息化应用网络安全的建设与网络运营者，坚持以《网络安全法》与配套的法律法规为准绳，深入践行网络安全相关的法律法规要求，特别是在网络运行安全、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置等方面不断深化实施要求，在网络安全策略体系、技术防护体系、运行体系建设中不断取得新进步，网络安全专业化与体系化能力不断提升。

一、全面评估存在的差距

作为国家重要系统及关键信息基础设施网络安全建设与网络运营者，一直把网络安全的合规建设作为网络安全的最基础、最有效、最根本的保障，《网络安全法》一出台，就结合网络系统的特点、所支撑业务应用安全需要及业已形成的网络安全机构、制度与策略体系、技术防护体系及运营现状组织本单位内安全人员进行了差距分析，重点在安全技术、安全管理、敏感数据保护及安全运营中的风险评估、网络安全审计、监测与预警活动中进行差距分析（分析框架如下图），以《网络安全法》为准绳，梳理形成5大类16小类近70余项不符合及存在的差距项，存在的差距突出集中在以下几个方面：

一是在关键信息基础设施的安全防护与业务应用在同步规划、同步建设、同步使用落实有差距；

二是监测、记录网络安全事件的技术措施不充分，为开展安全事件的追溯与审计的部分网络安日志留存时限未达到要求；

三是敏感业务信息分级分类管理与技术措施的防范、个人敏感信息的防护等在制度规范、技术手段、实施流程等方面缺失；

四是支撑开展网络安全运营的监测技术手段、审计技术手段与人员队伍能力不足，安全运营的水平有待进一步提升。

针对以上差距评估的结果，就技术措施的落实、管理制度的完善等工作进行了规划，制定了80项整改任务项，为后续完善网络安全整体措施奠定了基础。

二、在信息安全管理体系框架下的网络安全配套制度进一步健全，

组织机构与职责逐步完善

随着《网络安全法》及配套的落地要求的不断实践，特别是网络安全、保密教育与保密检查常态化的开展，网络安全与保密意识已经深入人心，网络安全工作的开展逐步得到广泛的理解，围绕信息安全管理体系化建设要求对《网络安全法》的内容就机构、职责、规范要求和基于体系的安全管理与活动内容进行梳理，落实差距评估规划的实施。

一是网络安全同步规划、同步建设、同步使用的要求得到全面实施。随着云计算、大数据技术及基于敏捷开发技术平台的使用，信息化建设的技术架构标准在不断优化和调整，配套的技术管控要求进一步充实，并通过架构管控组人员的安全活动使架构管控要求在信息化项目建设中得到落实，另外在项目建设中完成了业务操作行为日志标准化组件建设，为落实业务操作行为审计奠定了技术基础。

二是对安全运行管理制度及安全事件应急处置预案进行了完善，重新定位了网络运营者和关键信息基础设施建设者的责任，细化了安全运营的管理要求，对安全事件的应急人员组织、调度、评估、处置、上报与发布等进行了明确。

三是进一步压实了责任和考核，明确了考核的指标，推动了责任的落实。结合安全运营的工作实际，在完善配套的技术操作流程、规范基础上，梳理出关于入侵防范、病毒监测及处理、网络边界防护、安全事件处置等考核指标，并落实网络安全绩效与单位、人员考核挂钩。

四是敏感信息保护及敏感信息分级分类管理逐步展开。随着核心业务由传统以交易为主向以风险控制为核心数据分析为主的应用转型，大数据分析应用得到普及，敏感信息保护成为当前信息安全方面的主要工作之一，数据安全正在由技术驱动向业务驱动转变，形成发布了业务数据分级分类管理办法，并由主要业务部门牵头形成了涵盖大数据管理机构、数据生命周期管理、数据分级分类实施、数据安全防护措施的大数据应用建设规划，把敏感数据的安全纳入海关系统大数据应用建设的重要内容。

五是按照合规要求常态化有序开展安全审计、风险评估、安全的监控与处置任务。敏感数据的操作审计工作以两周为单位在常态化的开展，通过数据库审计系统、运维服务管理平台、操作行为审计平台等技术手段对敏感数据的操作、人员授权、访问策略进行全面的检查，数据安全的形势得到明显改善；依据信息系统等级保护、分级保护及安全保密要求，每年定期开展拉网式的全网安全保密检查、对重要敏感系统和关键信息基础设施进行风险评估，对发现的问题实时进行整改；在传统运维监控基础上建立了安全监控队伍，常态化对安全监控报警进行处置和安全事件的处理并定期开展应急演练；规范化漏洞扫描与处置、开发源代码的安全扫描和整改，减少系统环境与应用的攻击面；加强与网络安全国家队的联系合作及威胁情报的利用，根据网络安全态势的发展，将网络安全的建设与管理逐步由合规向对抗方式转变，扭转网络安全被动局面。

三、网络安全配套技术措施得到加强，

网络安全技术体系日趋完善

根据《网络安全法》及等级保护等相关要求，安全技术措施也在随着大数据、云计算、物联网技术的使用不断改善与加强。

一是在云平台安全、大数据平台内部安全基础上，按照传统纵深防御的原则，加强了云平台、大数据边界的防护，在云平台、大数据边界强化传统网络安全域的防护，并重点增加了应用级的防护手段，比如在主要互联出口增加应用防火墙，引入云堤、抗DDoS设备，增强纵深深度；

二是完善和加强安全技术策略的实施。将重点网络安全边界防护策略由黑名单机制向白名单机制转变，细化边界策略的管理；细化网内功能子域的区划，逐步增加功能子域边界的防护策略和边界纵深，加强功能子域内用户横向渗透的控制；

三是加强安全监控手段，在传统的IPS、IDS保护的基础上引入终端安全实时响应系统，加强对日常敏感操作行为的监控；在网络链路上增加网络全流量分析与监控系统、数据库审计系统，在加强对病毒、入侵事件的监控外，可以有效对威胁的事件、重要数据安全事件进行渗透行为、数据操作交易的追溯；

四是建立安全大数据事件监控与态势感知平台、敏感数据信息安全治理平台。按照《网络安全法》的要求集中收集、存储安全事件相关的数据，利用安全大数据平台安全数据模型的建设对安全行为进行报警与相关事件攻击链的回溯，利用人工智能与机器学习逐步实现安全态势感知，以优化、完善网络安全监控与安全技术策略；根据敏感数据信息保护的要求推进数据安全治理平台的建设，利用大量业务应用数据“血缘”流向，实施数据全流程的技术策略管控，把国家对重要数据安全的要求落实。通过安全大数据平台及数据治理平台的建设推进安全运营的标准化、规范化的管理，进一步提高安全运营的能力、水平和质量。

四、国产自主知识产权产品应用得到进一步提升，

网络安全基础更加扎实

习总书记及党中央多次强调，努力实现关键核心技术自主可控，把创新主动权、发展主动权牢牢掌握在自己手中。核心网络安全技术自主可控是落实网络空间安全治理的关键，在落实《网络安全法》要求的实践过程中，把推进自主可控国产化信息产品纳入网络安全建设的重要内容。

在支持参与国家信息化核心技术生态环境建设中，谨记习总书记和党中央的号召，始终牢记自己作为这个生态最重要的末端用户的责任，在自主可控国产化可用的前提下把推动、使用国产化品牌产品作为海关系统环境建设中优先策略。在自主推动该策略落实过程中坚持“由边缘应用向核心应用”稳步推进的原则。近几年通过“X86化”实现核心主机、存储的替代，利用国产主流X86服务器并行扩展能力解决原高端主机的性能与稳定性问题，利用国产存储间的冗余解决原国外品牌高端存储的可靠性问题，并通过非实时应用向实时应用替代顺序实现了关键业务应用国产化核心硬件的替换。目前除历史存量的国外品牌外，基本实现了国产服务器x86主机、国产存储的替代；在国产数据库方面，作为最难替代的核心数据库部分，积极关注国产数据库技术的发展，组织对国产数据库的测试与比选，在包括Oracle公司、微软公司、SAP公司、EMC公司等众多国外品牌和国内产品比选中最终选择了国产南大通用并行数据库系统，实现了大规模部署；在其他核心技术国产化自主可控选择上，除较早的比选使用国产华为公司的云计算私有云平台、Hadoop分布式计算系统外，还是第一个全系统最大规模使用国产中标麒麟操作系统的用户。

目前上述国产化自主可控品牌已经在海关核心业务系统中得到了大量的推广，这些应用包括海关的核心实时通关系统、关键的OLAP风险分析应用等项目，目前国产存储与服务器品牌达到95%以上，核心操作系统国产化率超过50%，核心OLAP分析数据库国产化率部署超过80%，为完成关键技术国产化替代打下了坚实基础，也为自主可控下的网络安全创造了条件。

五、网络安全形势日益复杂，

网络安全工作任重道远

在《网络安全法》实施三年来，海关系统内网络安全工作取得了较大的成绩。网络安全意识有明显的提升，网络安全工作不再只是技术部门的工作，已经成为业务安全的重要组成部分；网络安全管理体系、技术策略体系更加健全，技术防护措施更加完善，网络安全的运营逐步向体系化发展；网络安全的队伍能力得到进一步提升，具备了对复杂的安全事件和数据泄露事件端到端的追溯能力。

虽然在《网络安全法》的落实上取得了一些成绩，但网络安全工作的复杂性、艰巨性、长期性依然存在，国家层面的网络安全威胁主要表现在黑客对网络攻击目标更加明确，重点转向政府网站、关键信息基础设施；网络安全风险由漏洞、后门转向供应链和我国自主可控的技术短板；网络攻击逐步组织化、集团化。这些网络安全新形势，在现行各政府单位、各国有企业和军工单位独立开展网络安全防护的体制下，无法在网络安全人才、资金、能力等方面得到足够资源以应对网络安全的威胁，为此建议在法律、法规层面上尽快落实如下要求：

一是依靠国家的力量集中资源在关键自主可控的信息化核心技术上加大投入，尽快在核心技术上实现突破，并建立国家级的关键技术生态适配基地，推出几套组合的信息化通用生态链产品；

二是增强网络安全国家队伍的力量和能力，除开展国家层面的网络安全外，还要集中为国家关键信息基础设施、关系国计民生的重要应用提供网络安全的服务和保障；

三是在自主可控的范围内推出几套安全防护技术、防护组合成套方案，强制在重要的关键信息基础设施、重要应用系统上实施。通过完善网络安全国家体制，举国家之力，加强对重点行业、重点领域的关键信息系统及关键信息基础设施的网络安全整体投入与指导，不断完善网络安全治理体系的建设，实现网络安全治理能力的现代化。

（本文刊登于《中国信息安全》杂志2020年第6期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。